<!doctype html><html lang dir=ltr><meta charset=utf-8><meta name=viewport content="width=device-width,initial-scale=1"><title>安全事件处理建议 | ACSE（亚信安全认证安全专家） | Hui.Ke - Blog</title><meta name=generator content="Hugo Eureka 0.9.3"><link rel=stylesheet href=https://b.hui.ke/css/eureka.min.9cec6350e37e534b0338fa9a085bf06855de3b0f2dcf857e792e5e97b07ea905d4d5513db554cbc26a9c3da622bae92d.css><script defer src=https://b.hui.ke/js/eureka.min.fa9a6bf6d7a50bb635b4cca7d2ba5cf3dfb095ae3798773f1328f7950028b48c17d06276594e1b5f244a25a6c969a705.js></script>
<link rel=preconnect href=https://fonts.googleapis.com><link rel=preconnect href=https://fonts.gstatic.com crossorigin><link rel=preload href="https://fonts.googleapis.com/css2?family=Lora:wght@400;600;700&family=Noto+Serif+SC:wght@400;600;700&display=swap" as=style onload='this.onload=null,this.rel="stylesheet"'><link rel=stylesheet href=https://cdn.jsdelivr.net/gh/highlightjs/cdn-release@11.4.0/build/styles/vs.min.css media=print onload='this.media="all",this.onload=null' crossorigin><script defer src=https://cdn.jsdelivr.net/gh/highlightjs/cdn-release@11.4.0/build/highlight.min.js crossorigin></script>
<script defer src=https://cdn.jsdelivr.net/gh/highlightjs/cdn-release@11.4.0/build/languages/bash.min.js crossorigin></script>
<script defer src=https://cdn.jsdelivr.net/gh/highlightjs/cdn-release@11.4.0/build/languages/ini.min.js crossorigin></script>
<script defer src=https://cdn.jsdelivr.net/gh/highlightjs/cdn-release@11.4.0/build/languages/json.min.js crossorigin></script>
<script defer src=https://cdn.jsdelivr.net/gh/highlightjs/cdn-release@11.4.0/build/languages/php.min.js crossorigin></script>
<script defer src=https://cdn.jsdelivr.net/gh/highlightjs/cdn-release@11.4.0/build/languages/python.min.js crossorigin></script>
<script defer src=https://cdn.jsdelivr.net/gh/highlightjs/cdn-release@11.4.0/build/languages/shell.min.js crossorigin></script>
<script defer src=https://cdn.jsdelivr.net/gh/highlightjs/cdn-release@11.4.0/build/languages/sql.min.js crossorigin></script>
<script defer src=https://cdn.jsdelivr.net/gh/highlightjs/cdn-release@11.4.0/build/languages/x86asm.min.js crossorigin></script>
<script defer src=https://cdn.jsdelivr.net/gh/highlightjs/cdn-release@11.4.0/build/languages/xml.min.js crossorigin></script>
<link rel=stylesheet href=https://b.hui.ke/css/highlightjs.min.2958991528e43eb6fc9b8c4f2b8e052f79c4010718e1d1e888a777620e9ee63021c2c57ec7417a3108019bb8c41943e6.css media=print onload='this.media="all",this.onload=null'><script defer type=text/javascript src=https://lib.baomitu.com/font-awesome/6.1.1/js/all.min.js></script>
<link rel=stylesheet href=https://cdn.jsdelivr.net/npm/katex@0.15.2/dist/katex.min.css integrity=sha384-MlJdn/WNKDGXveldHDdyRP1R4CTHr3FeuDNfhsLPYrq2t0UBkUdK2jyTnXPEK1NQ media=print onload='this.media="all",this.onload=null' crossorigin><script defer src=https://cdn.jsdelivr.net/npm/katex@0.15.2/dist/katex.min.js integrity=sha384-VQ8d8WVFw0yHhCk5E8I86oOhv48xLpnDZx5T9GogA/Y84DcCKWXDmSDfn13bzFZY crossorigin></script>
<script defer src=https://cdn.jsdelivr.net/npm/katex@0.15.2/dist/contrib/auto-render.min.js integrity=sha384-+XBljXPPiv+OzfbB3cVmLHf4hdUFHlWNZN5spNQ7rmHTXpd7WvJum6fIACpNNfIR crossorigin></script>
<script>document.addEventListener("DOMContentLoaded",function(){renderMathInElement(document.body,{delimiters:[{left:"$$",right:"$$",display:!0},{left:"$",right:"$",display:!1},{left:"\\(",right:"\\)",display:!1},{left:"\\[",right:"\\]",display:!0}]})})</script><script defer src=https://cdn.jsdelivr.net/npm/mermaid@8.14.0/dist/mermaid.min.js integrity=sha384-atOyb0FxAgN9LyAc6PEf9BjgwLISyansgdH8/VXQH8p2o5vfrRgmGIJ2Sg22L0A0 crossorigin></script>
<link rel=icon type=image/png sizes=32x32 href=https://b.hui.ke/icon_hub7ca0b5404c6d576559b2bd22c64b0e5_2009_32x32_fill_box_center_3.png><link rel=apple-touch-icon sizes=180x180 href=https://b.hui.ke/icon_hub7ca0b5404c6d576559b2bd22c64b0e5_2009_180x180_fill_box_center_3.png><meta name=description content="  技术部分第三节内容，即第二章《病毒与威胁基础》之任务 3《安全事件处理建议》"><script type=application/ld+json>{"@context":"https://schema.org","@type":"BreadcrumbList","itemListElement":[{"@type":"ListItem","position":1,"name":"Docs","item":"https://b.hui.ke/docs/"},{"@type":"ListItem","position":2,"name":"ACSE（亚信安全认证安全专家）","item":"https://b.hui.ke/docs/asiainfo-acse-training/"},{"@type":"ListItem","position":3,"name":"安全事件处理建议","item":"https://b.hui.ke/docs/asiainfo-acse-training/3/"}]}</script><script type=application/ld+json>{"@context":"https://schema.org","@type":"Article","mainEntityOfPage":{"@type":"WebPage","@id":"https://b.hui.ke/docs/asiainfo-acse-training/3/"},"headline":"安全事件处理建议 | ACSE（亚信安全认证安全专家） | Hui.Ke - Blog","datePublished":"2020-02-19T18:44:02+08:00","dateModified":"2020-02-19T18:44:02+08:00","wordCount":2106,"author":{"@type":"Person","name":"Hui.Ke"},"publisher":{"@type":"Person","name":"Hui.Ke","logo":{"@type":"ImageObject","url":"https://b.hui.ke/icon.png"}},"description":"\u003cp\u003e  技术部分第三节内容，即第二章《病毒与威胁基础》之任务 3《安全事件处理建议》\u003c\/p\u003e"}</script><meta property="og:title" content="安全事件处理建议 | ACSE（亚信安全认证安全专家） | Hui.Ke - Blog"><meta property="og:type" content="article"><meta property="og:image" content="https://b.hui.ke/icon.png"><meta property="og:url" content="https://b.hui.ke/docs/asiainfo-acse-training/3/"><meta property="og:description" content="  技术部分第三节内容，即第二章《病毒与威胁基础》之任务 3《安全事件处理建议》"><meta property="og:site_name" content="Hui.Ke - Blog"><meta property="article:published_time" content="2020-02-19T18:44:02+08:00"><meta property="article:modified_time" content="2020-02-19T18:44:02+08:00"><meta property="article:section" content="docs"><meta property="article:tag" content="安全事件处理建议"><meta property="article:tag" content="工具下载"><meta property="article:tag" content="ATTK"><meta property="og:see_also" content="https://b.hui.ke/docs/asiainfo-acse-training/9/"><meta property="og:see_also" content="https://b.hui.ke/docs/asiainfo-acse-training/8/"><meta property="og:see_also" content="https://b.hui.ke/docs/asiainfo-acse-training/7/"><meta property="og:see_also" content="https://b.hui.ke/docs/asiainfo-acse-training/6/"><meta property="og:see_also" content="https://b.hui.ke/docs/asiainfo-acse-training/5/"><meta property="og:see_also" content="https://b.hui.ke/docs/asiainfo-acse-training/4/"><meta property="og:see_also" content="https://b.hui.ke/docs/asiainfo-acse-training/2/"><meta property="og:see_also" content="https://b.hui.ke/docs/asiainfo-acse-training/1/"><script>!function(e){"use strict";!function(){var i,s=window,o=document,a=e,c="".concat("https:"===o.location.protocol?"https://":"http://","sdk.51.la/js-sdk-pro.min.js"),n=o.createElement("script"),r=o.getElementsByTagName("script")[0];n.type="text/javascript",n.setAttribute("charset","UTF-8"),n.async=!0,n.src=c,n.id="LA_COLLECT",a.d=n,i=function(){s.LA.ids.push(a)},s.LA?s.LA.ids&&i():(s.LA=e,s.LA.ids=[],i()),r.parentNode.insertBefore(n,r)}()}({id:"Jgb8aUbG5e3rqhrs",ck:"Jgb8aUbG5e3rqhrs",autoTrack:!0,hashMode:!0})</script><body class="flex min-h-screen flex-col"><header class="min-h-16 pl-scrollbar bg-secondary-bg fixed z-50 flex w-full items-center shadow-sm"><div class="mx-auto w-full max-w-screen-xl"><script>let storageColorScheme=localStorage.getItem("lightDarkMode");((storageColorScheme=="Auto"||storageColorScheme==null)&&window.matchMedia("(prefers-color-scheme: dark)").matches||storageColorScheme=="Dark")&&document.getElementsByTagName("html")[0].classList.add("dark")</script><nav class="flex items-center justify-between flex-wrap px-4 py-4 md:py-0"><a href=/ class="me-6 text-primary-text text-xl font-bold">Hui.Ke - Blog</a>
<button id=navbar-btn class="md:hidden flex items-center px-3 py-2" aria-label="Open Navbar">
<i class="fas fa-bars"></i></button><div id=target class="hidden block md:flex md:grow md:justify-between md:items-center w-full md:w-auto text-primary-text z-20"><div class="md:flex md:h-16 text-sm md:grow pb-4 md:pb-0 border-b md:border-b-0"><a href=/posts/ class="block mt-4 md:inline-block md:mt-0 md:h-(16-4px) md:leading-(16-4px) box-border md:border-t-2 md:border-b-2 border-transparent me-4">Posts</a>
<a href=/docs/ class="block mt-4 md:inline-block md:mt-0 md:h-(16-4px) md:leading-(16-4px) box-border md:border-t-2 md:border-b-2 selected-menu-item me-4">Docs</a>
<a href=/categories/ class="block mt-4 md:inline-block md:mt-0 md:h-(16-4px) md:leading-(16-4px) box-border md:border-t-2 md:border-b-2 border-transparent me-4">Categories</a>
<a href=/series/ class="block mt-4 md:inline-block md:mt-0 md:h-(16-4px) md:leading-(16-4px) box-border md:border-t-2 md:border-b-2 border-transparent me-4">Series</a>
<a href=/tags/ class="block mt-4 md:inline-block md:mt-0 md:h-(16-4px) md:leading-(16-4px) box-border md:border-t-2 md:border-b-2 border-transparent me-4">Tags</a>
<a href=/love/ class="block mt-4 md:inline-block md:mt-0 md:h-(16-4px) md:leading-(16-4px) box-border md:border-t-2 md:border-b-2 border-transparent me-4">Love</a>
<a href=/about/ class="block mt-4 md:inline-block md:mt-0 md:h-(16-4px) md:leading-(16-4px) box-border md:border-t-2 md:border-b-2 border-transparent me-4">About</a></div><div class=flex><div class="relative pt-4 md:pt-0"><div class="cursor-pointer hover:text-eureka" id=lightDarkMode><i class="fas fa-adjust"></i></div><div class="fixed hidden inset-0 opacity-0 h-full w-full cursor-default z-30" id=is-open></div><div class="absolute flex flex-col start-0 md:start-auto end-auto md:end-0 hidden bg-secondary-bg w-48 rounded py-2 border border-tertiary-bg cursor-pointer z-40" id=lightDarkOptions><span class="px-4 py-1 hover:text-eureka" name=Light>Light</span>
<span class="px-4 py-1 hover:text-eureka" name=Dark>Dark</span>
<span class="px-4 py-1 hover:text-eureka" name=Auto>Auto</span></div></div></div></div><div class="fixed hidden inset-0 opacity-0 h-full w-full cursor-default z-0" id=is-open-mobile></div></nav><script>let element=document.getElementById("lightDarkMode");storageColorScheme==null||storageColorScheme=="Auto"?document.addEventListener("DOMContentLoaded",()=>{window.matchMedia("(prefers-color-scheme: dark)").addEventListener("change",switchDarkMode)}):storageColorScheme=="Light"?(element.firstElementChild.classList.remove("fa-adjust"),element.firstElementChild.setAttribute("data-icon","sun"),element.firstElementChild.classList.add("fa-sun")):storageColorScheme=="Dark"&&(element.firstElementChild.classList.remove("fa-adjust"),element.firstElementChild.setAttribute("data-icon","moon"),element.firstElementChild.classList.add("fa-moon")),document.addEventListener("DOMContentLoaded",()=>{getcolorscheme(),switchBurger()})</script></div></header><main class="grow pt-16"><div class=pl-scrollbar><div class="mx-auto w-full max-w-screen-xl lg:px-4 xl:px-8"><div class=lg:pt-12><div class="flex flex-col md:flex-row bg-secondary-bg rounded"><div class="md:w-1/4 lg:w-1/5 border-e"><div class="sticky top-16 pt-6"><div id=sidebar-title class="md:hidden mx-4 px-2 pt-4 pb-2 md:border-b text-tertiary-text md:text-primary-text"><span class=font-semibold>Table of Contents</span>
<i class='fas fa-caret-right ms-1'></i></div><div id=sidebar-toc class="hidden md:block overflow-y-auto mx-6 md:mx-0 pe-6 pt-2 md:max-h-doc-sidebar bg-primary-bg md:bg-transparent"><div class="flex flex-wrap ms-4 -me-2 p-2 bg-secondary-bg md:bg-primary-bg rounded"><a class=hover:text-eureka href=https://b.hui.ke/docs/asiainfo-acse-training/>ACSE（亚信安全认证安全专家）</a></div><ul class=ps-6><li class=py-2><div><a class=hover:text-eureka href=https://b.hui.ke/docs/asiainfo-acse-training/9/>OSCE XG 第四讲 日志和管理</a></div></li><li class=py-2><div><a class=hover:text-eureka href=https://b.hui.ke/docs/asiainfo-acse-training/8/>OSCE XG 第三讲 病毒防护配置</a></div></li><li class=py-2><div><a class=hover:text-eureka href=https://b.hui.ke/docs/asiainfo-acse-training/7/>OSCE XG 第二讲 安装部署</a></div></li><li class=py-2><div><a class=hover:text-eureka href=https://b.hui.ke/docs/asiainfo-acse-training/6/>OSCE XG 第一讲 产品概述</a></div></li><li class=py-2><div><a class=hover:text-eureka href=https://b.hui.ke/docs/asiainfo-acse-training/5/>安全威胁课程——防护和治理</a></div></li><li class=py-2><div><a class=hover:text-eureka href=https://b.hui.ke/docs/asiainfo-acse-training/4/>安全威胁课程——网络攻击</a></div></li><li class=py-2><div><a class="text-eureka hover:text-eureka" href=https://b.hui.ke/docs/asiainfo-acse-training/3/>安全事件处理建议</a></div></li><li class=py-2><div><a class=hover:text-eureka href=https://b.hui.ke/docs/asiainfo-acse-training/2/>反病毒技术发展</a></div></li><li class=py-2><div><a class=hover:text-eureka href=https://b.hui.ke/docs/asiainfo-acse-training/1/>安全威胁课程-恶意软件部分</a></div></li></ul></div></div></div><div class="w-full md:w-3/4 lg:w-4/5 pb-8 pt-2 md:pt-8"><div class=flex><div class="w-full lg:w-3/4 px-6"><article class=prose><h1 class=mb-4>安全事件处理建议</h1><div class="text-tertiary-text not-prose mt-2 flex flex-row flex-wrap items-center"><div class="me-6 my-2"><i class="fas fa-calendar me-1"></i>
<span>2020-02-19</span></div><div class="me-6 my-2"><i class="fa-solid fa-pen-to-square me-1"></i>
<span>2020-02-19</span></div><div class="me-6 my-2"><i class="fas fa-clock me-1"></i>
<span>5 min read</span></div><div class="me-6 my-2"><i class="fas fa-folder me-1"></i>
<a href=https://b.hui.ke/categories/it/ class=hover:text-eureka>IT</a></div><div class="me-6 my-2"><i class="fas fa-th-list me-1"></i>
<a href=https://b.hui.ke/series/asiainfo/ class=hover:text-eureka>AsiaInfo</a></div><div class="me-6 my-2"><i class="fa-solid fa-eye me-1"></i>
<span id=busuanzi_value_page_pv><i class="fa fa-spinner fa-spin"></i></span> Hits</div></div><p>  技术部分第三节内容，即第二章《病毒与威胁基础》之任务 3《安全事件处理建议》</p><h2 id=亚信安全反病毒定义>亚信安全反病毒定义</h2><h3 id=病毒名称定义>病毒名称定义</h3><p>  不同反病毒厂商，对于恶意软件名称都有不同的定义</p><p>  此处以亚信安全对病毒名称定义举例：PE_SALITY.RL -O（类型 _ 名称 . 变种 - 母体）</p><h2 id=工作机制>工作机制</h2><h3 id=扫毒模块>扫毒模块</h3><ol><li>扫描并检测含有恶意代码的文件，对其进行识别</li><li>对于被文件型病毒感染的可执行文件进行修复</li><li>组件<ol><li>扫描引擎：VSAPI & TMFilter</li><li>病毒码：LPT$VPN.xxx</li><li>间谍软件病毒码：TMAPTN.xxx</li><li>网络病毒码：TMFxxxxx.PTN</li></ol></li></ol><h3 id=损害清除服务dcs>损害清除服务（DCS）</h3><ol><li>场景：对一个正在编辑的 word 文档要执行删除操作的时候。文档会报该文件正在被使用，无法执行删除操作</li><li>对于正在运行/已经加载的病毒进行清除</li><li>终止进程</li><li>脱钩 DLL 文件</li><li>删除文件</li><li>恢复被病毒修改过的注册表内容，起到修复系统的作用</li><li>可视为通用专杀工具</li><li>组件<ol><li>损害清除引擎（DCE）：TSC.EXE</li><li>损害清除模板（DCT）：TSC.PTN</li><li>间谍软件清除病毒码：TMADCE.PTN</li></ol></li></ol><h2 id=反病毒常见问题>反病毒常见问题</h2><ul><li>病毒已经被检测出来，却提示处理失败</li><li>无法清除，无法隔离</li><li>有明显中毒现象，病毒未被查杀</li><li>误查正常文件</li><li>为什么会出现无法清除的病毒？（只能隔离）<ul><li>多数情况下可以通过清除措施处理恶意代码，修复正常文件</li><li>-O 母体类型，无法被清除，只能隔离</li><li>非感染性病毒，本身就是恶意软件，无法被清除，只能隔离</li></ul></li><li>为什么会出现无法隔离/删除的病毒？<ul><li>当病毒感染系统后<ul><li>病毒进程已经被系统加载</li><li>病毒 DLL 文件已经嵌入到正在运行的系统进程中</li><li>Windwos 自身的特性：对于已经加载的文件无法进行改动操作，从而导致病毒扫描引擎对检测到的文件无法操作</li></ul></li><li>已经加载的病毒不包含在损害清除模板（DCT）中</li></ul></li></ul><h2 id=安全事件处理流程>安全事件处理流程</h2><h3 id=已知病毒能够检测但无法被清除隔离删除>已知病毒（能够检测，但无法被清除、隔离、删除）</h3><ol><li>在可能的情况下，拔除网线</li><li>收集病毒日志</li><li>确认病毒名称、路径和文件名</li><li>搜索病毒知识库，查找病毒的解决方法</li><li>根据方案，手动清理系统中的病毒</li><li>若找不到方案或方案无效可收集样本与系统信息由厂商协助处理</li></ol><h3 id=未知可疑病毒无法检测但出现病毒现象疑似出现病毒>未知/可疑病毒（无法检测，但出现病毒现象，疑似出现病毒）</h3><ol><li>在可能的情况下，拔除网线</li><li>使用 ATTK（信息收集）工具收集系统关键信息提交给亚信安全</li><li>如有明显可疑文件，压缩加密提交给亚信安全</li><li>亚信安全反馈病毒解决方案</li></ol><h3 id=其他事件>其他事件</h3><ul><li>可执行文件恶意代码清除后，文件被破坏：提交感染前的文件和感染后的文件给厂商进行分析</li><li>宏病毒清除后打开异常或被隔离：收集原时样本提交给厂商</li><li>网络异常，怀疑 ARP 攻击：通过抓包，将抓包信息提交给厂商</li></ul><h2 id=手动处理建议>手动处理建议</h2><ol><li><p>在安全模式下操作</p></li><li><p>终止所有可疑进行和不必要的进程</p></li><li><p>关闭系统还原</p></li><li><p>显示所有隐藏文件</p></li><li><p>通过以下信息判断可疑文件</p><ol><li><p>创建时间</p></li><li><p>按照日期排列文件，查看文件版本信息</p></li><li><p>可执行文件 .EXE、.COM、.SCR、.PIF</p></li><li><p>DLL 文件和 OCX 文件</p></li><li><p>LOG 文件 —— 有一些病毒会将 DLL 文件伪装成 LOG 后缀的文件，可疑直接双击打开查看其内容是否为文本。若为乱码，则可以。</p></li><li><p>可疑内容</p></li><li><p>路径</p><pre><code class=language-shell>%SystemRoot%\
%SystemRoot%\System32\
%SystemRoot%\System32\drivers\
</code></pre></li></ol></li><li><p>判断关键位置内容是否被篡改</p><ol><li>hosts 文件</li><li>注册表启动项</li><li>可疑服务</li></ol></li></ol><h2 id=常用工具介绍>常用工具介绍</h2><h3 id=attk>ATTK</h3><p>ATTK（Anti-Threat ToolKit）反病毒工具集</p><p>  下载 <a href=http://support.asiainfo-sec.com/Anti-Virus/Clean-Tool/ATTK_CN/>病毒查杀工具 或 系统信息收集工具</a></p><ol><li>用管理员权限双击运行即可</li></ol><blockquote><p>不要关闭任何弹出的窗口，否则程序会自动退出</p></blockquote><ol start=2><li>信息收集完成后，会自动弹出浏览器窗口和 C 盘根目录</li><li><strong>联网</strong>状态下，网页上会生成 <strong>临时 ID 号</strong>， C 盘下会生成一个 <strong>以主机名开头的压缩文件</strong>，将 ID 号和压缩文件提供给厂商进行分析</li></ol><h3 id=wireshark>WireShark</h3><p>  <a href=http://support.asiainfo-sec.com/Anti-Virus/Tool/Wireshark-win32-1.8.2.zip>下载地址</a></p><ol><li>安装完成后，在 Start 下选择相应的网卡 → Capture → Start，开始抓包</li><li>抓包过程中：Ping 其他机器、尝试打开网页</li><li>收集一段时间后，点击 Stop，将数据包文件加密、压缩，发送给厂商来进一步分析</li></ol><h3 id=rootkit-buster>Rootkit Buster</h3><p>  用于 MBR 问题的收集工具</p><p>  可以扫描隐藏在系统文件、注册表、进程和驱动中被劫持的服务</p><p>  还具备清除有害文件、隐藏注册表、执行程序等功能</p><p>  <a href=http://support.asiainfo-sec.com/Anti-Virus/Clean-Tool/Tools/RootkitBuster/>下载地址</a></p><ol><li>使用管理员方式运行此工具，接受协议</li><li>勾选需要扫描的项目，开始扫描</li><li>扫描完成后，将桌面上生成的 TMRBLog 文件夹压缩加密发送给厂商来进一步分析</li></ol><h2 id=典型案例分析>典型案例分析</h2><h3 id=worm_downad>Worm_downad</h3><h4 id=主要传播手段>主要传播手段</h4><ol><li>漏洞：MS08-067</li><li>移动存储</li></ol><h4 id=显性特征>显性特征</h4><ul><li>阻止访问安全网站</li><li>安全配置失效</li><li>暴力猜解密码</li><li>禁用 Windows 自动更新</li><li>无法登陆系统</li><li>隐藏文件</li><li>445 端口的网络流量很高</li></ul><h4 id=解决方案>解决方案</h4><ol><li>通过日志找到感染源</li><li>优先在源头计算机安装补丁（建议所有计算机打上补丁）：<a href=http://www.microsoft.com/technet/security/bulletin/ms98-067.mspx>下载地址</a></li><li>使用亚信安全产品或专杀工具查杀 WadKiller：<a href=http://support.asiainfo-sec.com/Anti-Virus/Clean-Tool/Tools/Special%20Tools/wadkiller0.6.zip>下载地址</a></li><li>修改域账号密码为强密码</li></ol><h3 id=pe_sality>PE_SALITY</h3><h4 id=主要传播手段-1>主要传播手段</h4><ol><li>漏洞：ms10-046</li><li>移动存储</li><li>网络共享</li><li>电子邮件</li></ol><h3 id=主要特征>主要特征</h3><ol><li>终止安全相关软件和服务</li><li>禁用防火墙、任务管理器、注册表</li><li>阻止进入安全模式</li><li>共享目录及子文件夹存在 LNK 和 TMP 文件</li><li>存在恶意的 AUTORUN.INF</li></ol><h4 id=解决方案-1>解决方案</h4><ol><li>通过日志找到感染源（或 -O 母体文件）</li><li>如果产品发生异常，使用 ATTK 先进行处理</li><li>关闭系统还原</li><li>安装漏洞补丁：<a href=http://www.microsoft.com/technet/security/bulletin/ms10-046.mspx>下载地址</a></li><li>对计算机进行全盘扫描</li></ol><h3 id=勒索病毒>勒索病毒</h3><h4 id=两种类型>两种类型</h4><ol><li>传统勒索病毒</li><li>勒索蠕虫</li></ol><h4 id=主要特征-1>主要特征</h4><ol><li>文档被加密锁定</li><li>弹出勒索信息</li></ol><h4 id=传统勒索软件>传统勒索软件</h4><p>  主要传入手段</p><ol><li>社工邮件（订单、银行账单）</li><li>带有宏病毒的 Word / Excel 附件</li></ol><p>  特点：非常依赖人类交互</p><h4 id=勒索蠕虫>勒索蠕虫</h4><p>  主要传入手段：MS17-010 漏洞及 Internet 传入</p><h4 id=如何处理>如何处理</h4><ol><li>对于被加密文件，请使用此解密工具进行解密：<a href=http://support.asiainfo-sec.com/Anti-Virus/Clean-Tool/Tools/RansomwareFileDecryptor>下载地址</a></li><li>收集信息：ATTK 日志及病毒日志</li></ol><h4 id=如何预防>如何预防</h4><ol><li>增强员工安全意识</li><li>防御（以 OSCE 为例）</li><li>备份重要文档（3-2-1 规则）：三个副本，两种不同格式保存，异地存储</li></ol></article><div class=my-4><a href=https://b.hui.ke/tags/%E5%AE%89%E5%85%A8%E4%BA%8B%E4%BB%B6%E5%A4%84%E7%90%86%E5%BB%BA%E8%AE%AE/ class="inline-block bg-tertiary-bg text-sm rounded px-3 py-1 my-1 me-2 hover:text-eureka">#安全事件处理建议</a>
<a href=https://b.hui.ke/tags/%E5%B7%A5%E5%85%B7%E4%B8%8B%E8%BD%BD/ class="inline-block bg-tertiary-bg text-sm rounded px-3 py-1 my-1 me-2 hover:text-eureka">#工具下载</a>
<a href=https://b.hui.ke/tags/attk/ class="inline-block bg-tertiary-bg text-sm rounded px-3 py-1 my-1 me-2 hover:text-eureka">#ATTK</a></div><div class=py-2><div class="my-8 flex flex-col items-center md:flex-row"><a href=https://b.hui.ke/authors/hui.ke/ class="md:me-4 text-primary-text h-24 w-24"><img src=https://b.hui.ke/bagua.webp class="bg-primary-bg w-full rounded-full" alt=Avatar></a><div class="mt-4 w-full md:mt-0 md:w-auto"><a href=https://b.hui.ke/authors/hui.ke/ class="mb-2 block border-b pb-1 text-lg font-bold"><h3>Hui.Ke</h3></a><span class="block pb-2">❤ Cyber Security | Safety is a priority.</span>
<a href=mailto:3199731997@qq.com class=me-2><i class="fas fa-envelope"></i></a>
<a href="https://wpa.qq.com/msgrd?v=3&uin=3199731997" class=me-2><i class="fab fa-qq"></i></a>
<a href=/images/aixinxianquan.webp class=me-2><i class="fab fa-weixin"></i></a></div></div></div><div class="-mx-2 mt-4 flex flex-col border-t px-2 pt-4 md:flex-row md:justify-between"><div><span class="text-primary-text block font-bold">Previous</span>
<a href=https://b.hui.ke/docs/asiainfo-acse-training/4/ class=block>安全威胁课程——网络攻击</a></div><div class="mt-4 md:mt-0 md:text-right"><span class="text-primary-text block font-bold">Next</span>
<a href=https://b.hui.ke/docs/asiainfo-acse-training/2/ class=block>反病毒技术发展</a></div></div><div id=valine-comments class=mt-4></div><script defer src=https://cdn.jsdelivr.net/npm/valine@1.4.16/dist/Valine.min.js integrity=sha384-e0+DNUCJo75aOAzHQbFWYBCM9/S4f0BhRJXvEgbE3mMS85RM20MSSGStHuNdY2QK crossorigin></script>
<script>document.addEventListener("DOMContentLoaded",function(){new Valine({el:"#valine-comments",appId:"BQnVqWIiq78AdqwyhvBVAa3y-MdYXbMMI",appKey:"RKg5By312YjM8rU6WkkfK9IN",recordIP:"true",serverURLs:"https://l.hui.ke",visitor:"true"})})</script></div><div class="hidden lg:block lg:w-1/4"><div class="bg-secondary-bg
prose sticky top-16 z-10 hidden px-6 py-4 lg:block"><h3>On This Page</h3></div><div class="sticky-toc
border-s
hidden px-6 pb-6 lg:block"><nav id=TableOfContents><ul><li><a href=#亚信安全反病毒定义>亚信安全反病毒定义</a><ul><li><a href=#病毒名称定义>病毒名称定义</a></li></ul></li><li><a href=#工作机制>工作机制</a><ul><li><a href=#扫毒模块>扫毒模块</a></li><li><a href=#损害清除服务dcs>损害清除服务（DCS）</a></li></ul></li><li><a href=#反病毒常见问题>反病毒常见问题</a></li><li><a href=#安全事件处理流程>安全事件处理流程</a><ul><li><a href=#已知病毒能够检测但无法被清除隔离删除>已知病毒（能够检测，但无法被清除、隔离、删除）</a></li><li><a href=#未知可疑病毒无法检测但出现病毒现象疑似出现病毒>未知/可疑病毒（无法检测，但出现病毒现象，疑似出现病毒）</a></li><li><a href=#其他事件>其他事件</a></li></ul></li><li><a href=#手动处理建议>手动处理建议</a></li><li><a href=#常用工具介绍>常用工具介绍</a><ul><li><a href=#attk>ATTK</a></li><li><a href=#wireshark>WireShark</a></li><li><a href=#rootkit-buster>Rootkit Buster</a></li></ul></li><li><a href=#典型案例分析>典型案例分析</a><ul><li><a href=#worm_downad>Worm_downad</a><ul><li><a href=#主要传播手段>主要传播手段</a></li><li><a href=#显性特征>显性特征</a></li><li><a href=#解决方案>解决方案</a></li></ul></li><li><a href=#pe_sality>PE_SALITY</a><ul><li><a href=#主要传播手段-1>主要传播手段</a></li></ul></li><li><a href=#主要特征>主要特征</a><ul><li><a href=#解决方案-1>解决方案</a></li></ul></li><li><a href=#勒索病毒>勒索病毒</a><ul><li><a href=#两种类型>两种类型</a></li><li><a href=#主要特征-1>主要特征</a></li><li><a href=#传统勒索软件>传统勒索软件</a></li><li><a href=#勒索蠕虫>勒索蠕虫</a></li><li><a href=#如何处理>如何处理</a></li><li><a href=#如何预防>如何预防</a></li></ul></li></ul></li></ul></nav></div><script>window.addEventListener("DOMContentLoaded",()=>{enableStickyToc()})</script></div></div></div></div></div><script>document.addEventListener("DOMContentLoaded",()=>{hljs.highlightAll(),changeSidebarHeight(),switchDocToc()})</script></div></div></main><footer class=pl-scrollbar><div class="mx-auto w-full max-w-screen-xl"><div class="text-center p-6 pin-b"><script async src=/js/click.js></script><div id=poem_ip></div><script type=text/javascript>jinrishici.load(function(e){tags.innerHTML=e.data.matchTags})</script><div><span id=timeDate>载入年天数...</span><span id=times>载入时分秒...</span>
<script async src=/js/duration.js></script></div><a href=https://www.foreverblog.cn/go.html target=_blank><img src=https://img.foreverblog.cn/wormhole_4_tp.gif alt style=display:inline-block;width:auto;height:32px title=穿梭虫洞-随机访问十年之约友链博客></a><p class="text-sm text-tertiary-text"><script async src=//busuanzi.ibruce.info/busuanzi/2.3/busuanzi.pure.mini.js></script>本站总访问量 <span id=busuanzi_value_site_pv></span> 次
&#183; 您是本站的第 <span id=busuanzi_value_site_uv></span> 个小伙伴</p><script async src=/js/tab.js></script></div></div></footer></body></html>